Доступ к микротику с внешней стороны

Обсуждение ПО и его настройки
Закрыто
Аватара пользователя
paidion
Сообщения: 6
Зарегистрирован: 09 дек 2013, 11:05

Добрый день!
Прошу помочь разобраться в странном явлении. После настройки микротика и проброса портов микротика, чтобы им рулить удалено. я подключаюсь удаленно и в микротике все конфиги ПУСТЫЕ. Если же удаленно подключаться через впн, то все нормуль. Не понимаю где капать. Помогите разобраться конфиг прилагаю

Код: Выделить всё

# feb/17/2016 14:19:00 by RouterOS 6.34.1
# software id = V6RD-UCHC
#
/interface bridge
add arp=proxy-arp name=Local_MOCA
/interface ethernet
set [ find default-name=ether2 ] arp=proxy-arp name=LAN1_MASTER
set [ find default-name=ether3 ] arp=proxy-arp master-port=LAN1_MASTER name=\
    LAN2_Slave
set [ find default-name=ether4 ] arp=proxy-arp master-port=LAN1_MASTER name=\
    LAN3_SLAVE
set [ find default-name=ether5 ] disabled=yes name=LAN_PoE!!!! poe-out=off
set [ find default-name=ether1 ] arp=proxy-arp name=WAN
/interface wireless security-profiles
set [ find default=yes ] authentication-types=wpa2-psk eap-methods="" mode=\
    dynamic-keys supplicant-identity=MikroTik wpa2-pre-shared-key=MCF_MOCA
add authentication-types=wpa-psk,wpa2-psk eap-methods="" \
    management-protection=allowed mode=dynamic-keys name=MCF_MOCA \
    supplicant-identity="" wpa-pre-shared-key=MCF_MOCA wpa2-pre-shared-key=\
    MCF_MOCA
/interface wireless
set [ find default-name=wlan1 ] adaptive-noise-immunity=ap-and-client-mode \
    antenna-gain=1 band=2ghz-b/g/n channel-width=20/40mhz-Ce country=russia \
    disabled=no distance=indoors frequency=2452 frequency-mode=\
    regulatory-domain guard-interval=long hw-protection-mode=rts-cts mode=\
    ap-bridge name=WiFi_MOCA noise-floor-threshold=-110 security-profile=\
    MCF_MOCA ssid=MCF_MOCA tx-power=30 tx-power-mode=all-rates-fixed \
    wireless-protocol=802.11 wmm-support=enabled
add default-forwarding=no mac-address=E6:8D:8C:D5:D5:FF master-interface=\
    WiFi_MOCA name=MCF_MOCA security-profile=MCF_MOCA ssid=MCF_MOCA \
    wds-cost-range=0 wds-default-cost=0
/ip pool
add name=dhcp ranges=192.168.10.2-192.168.10.254
add name=dhcp_pool2 ranges=10.10.10.1-10.10.10.254
/ip dhcp-server
add add-arp=yes address-pool=dhcp always-broadcast=yes disabled=no interface=\
    Local_MOCA name=MOCA
add address-pool=dhcp_pool2 interface=MCF_MOCA name=MCF_MOCA
/ppp profile
add local-address=192.168.10.1 name=moka remote-address=192.168.10.200
/interface bridge port
add bridge=Local_MOCA interface=LAN1_MASTER
add bridge=Local_MOCA interface=WiFi_MOCA
add bridge=Local_MOCA interface=LAN_PoE!!!!
add bridge=Local_MOCA interface=MCF_MOCA
/ip settings
set accept-redirects=yes accept-source-route=yes
/interface pptp-server server
set authentication=pap,chap,mschap1,mschap2 default-profile=default enabled=\
    yes
/ip address
add address=192.168.10.1/24 comment="\EB\EE\EA\E0\EB\EA\E0" interface=\
    Local_MOCA network=192.168.10.0
add address=192.168.10.1/24 comment="\E4\EB\FF \FE\F0\E8\F1\F2\EE\E2" \
    disabled=yes interface=LAN1_MASTER network=192.168.10.0
add address=212.76.137.51/29 comment="\EF\F0\EE\E2\E0\E9\E4\E5\F0" interface=\
    WAN network=212.76.137.48
/ip dhcp-client
add dhcp-options=hostname,clientid interface=WAN
/ip dhcp-server network
add address=10.10.10.0/24 gateway=10.10.10.1
add address=192.168.10.0/24 dns-server=192.168.10.1 domain=MOCA gateway=\
    192.168.10.1 netmask=24
/ip dns
set allow-remote-requests=yes servers=77.220.170.2,8.8.8.8
/ip firewall address-list
add address=0.0.0.0/8 list=BOGON
add address=10.0.0.0/8 list=BOGON
add address=100.64.0.0/10 list=BOGON
add address=127.0.0.0/8 list=BOGON
add address=169.254.0.0/16 list=BOGON
add address=172.16.0.0/12 list=BOGON
add address=192.0.0.0/24 list=BOGON
add address=192.0.2.0/24 list=BOGON
add address=192.168.0.0/16 list=BOGON
add address=198.18.0.0/15 list=BOGON
add address=198.51.100.0/24 list=BOGON
add address=203.0.113.0/24 list=BOGON
add address=224.0.0.0/4 list=BOGON
add address=240.0.0.0/4 list=BOGON
/ip firewall filter
add chain=forward comment="allow already established connections" \
    connection-state=established
add chain=input protocol=udp
add chain=input dst-address=212.76.137.51 dst-port=1723 protocol=tcp
add chain=forward dst-address=212.76.137.51 in-interface=WAN protocol=gre
add chain=udp protocol=udp
add chain=icmp comment="allow established connections" icmp-options=3:0 \
    protocol=icmp
add chain=icmp comment="allow already established connections" icmp-options=\
    3:1 protocol=icmp
add chain=icmp comment="allow source quench" icmp-options=4:0 protocol=icmp
add chain=icmp comment="allow echo request" icmp-options=8:0 protocol=icmp
add chain=icmp comment="allow time exceed" icmp-options=11:0 protocol=icmp
add chain=icmp comment="allow parameter bad" icmp-options=12:0 protocol=icmp
add chain=forward comment="allow related connections" connection-state=\
    related
add action=drop chain=forward comment="drop invalid connections" \
    connection-state=invalid protocol=tcp
add action=jump chain=forward jump-target=tcp protocol=tcp
add action=jump chain=forward jump-target=udp protocol=udp
add action=jump chain=forward jump-target=icmp protocol=icmp
add action=drop chain=icmp comment="drop invalid connections" icmp-options=\
    0:0 protocol=icmp
add action=drop chain=tcp comment="deny TFTP" dst-port=69 protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=111 \
    protocol=tcp
add action=drop chain=tcp comment="deny RPC portmapper" dst-port=135 \
    protocol=tcp
add action=drop chain=tcp comment="deny NBT" dst-port=137-139 protocol=tcp
add action=drop chain=tcp comment="deny cifs" dst-port=445 protocol=tcp
add action=drop chain=tcp comment="deny NFS" dst-port=2049 protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=12345-12346 \
    protocol=tcp
add action=drop chain=tcp comment="deny NetBus" dst-port=20034 protocol=tcp
add action=drop chain=tcp comment="deny BackOriffice" dst-port=3133 protocol=\
    tcp
add action=drop chain=tcp comment="deny DHCP" dst-port=67-68 protocol=tcp
add action=drop chain=udp comment="deny TFTP" dst-port=69 protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=111 \
    protocol=udp
add action=drop chain=udp comment="deny PRC portmapper" dst-port=135 \
    protocol=udp
add action=drop chain=udp comment="deny NBT" dst-port=137-139 protocol=udp
add action=drop chain=udp comment="deny NFS" dst-port=2049 protocol=udp
add action=drop chain=udp comment="deny BackOriffice" dst-port=3133 protocol=\
    udp
add action=drop chain=icmp comment="deny all other types" disabled=yes
/ip firewall nat
add action=masquerade chain=srcnat comment=\
    "\F5\EE\E4\E8\EC \E2 \E8\ED\F2\E5\F0\ED\E5\F2" out-interface=WAN
add action=dst-nat chain=dstnat disabled=yes dst-address=212.76.137.51 \
    dst-port=8888 in-interface=WAN log=yes log-prefix=WINBOX_ protocol=tcp \
    to-addresses=192.168.10.1 to-ports=8291
add action=dst-nat chain=dstnat dst-address=212.76.137.51 dst-port=8080 \
    in-interface=WAN log=yes log-prefix=WINBOX_ protocol=tcp to-addresses=\
    192.168.10.1 to-ports=80
add action=netmap chain=dstnat dst-address=212.76.137.51 dst-port=8291 \
    in-interface=WAN protocol=tcp to-addresses=192.168.10.1 to-ports=8291
/ip firewall service-port
set ftp disabled=yes
set tftp disabled=yes
set irc disabled=yes
set h323 disabled=yes
set pptp disabled=yes
/ip route
add check-gateway=ping distance=1 gateway=212.76.137.49
/ip service
set telnet disabled=yes
set ftp disabled=yes
set ssh disabled=yes
set api disabled=yes
set api-ssl disabled=yes
/ppp secret
add local-address=192.168.10.1 name=moka password=hox472MS profile=moka \
    remote-address=192.168.10.200 service=pptp
/system clock
set time-zone-name=Europe/Moscow
/system identity
set name=MOKA_ROUTER
/system leds
set 5 interface=WiFi_MOCA
/system ntp client
set enabled=yes primary-ntp=95.104.193.195 secondary-ntp=91.206.16.3
/system routerboard settings
set cpu-frequency=700MHz protected-routerboot=disabled
/system scheduler
add interval=1w name=update on-event="/system script run update" policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive start-date=\
    nov/25/2015 start-time=04:00:00
/system script
add name=update owner=moca policy=\
    ftp,reboot,read,write,policy,test,password,sniff,sensitive source="/system\
    \_package update\r\
    \ncheck-for-updates\r\
    \n:delay 1s;\r\
    \n:if ( [get current-version] != [get latest-version]) do={ upgrade }"
/tool romon
set enabled=yes



vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

Честно говоря у вас в конфиге черт ногу сломит

Вот это например зачем?
add action=netmap chain=dstnat dst-address=212.76.137.51 dst-port=8291 \
in-interface=WAN protocol=tcp to-addresses=192.168.10.1 to-ports=8291

при условии
/ip address
add address=192.168.10.1/24 comment="\EB\EE\EA\E0\EB\EA\E0" interface=\
Local_MOCA network=192.168.10.0


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
paidion
Сообщения: 6
Зарегистрирован: 09 дек 2013, 11:05

vqd писал(а):Честно говоря у вас в конфиге черт ногу сломит

Вот это например зачем?
add action=netmap chain=dstnat dst-address=212.76.137.51 dst-port=8291 \
in-interface=WAN protocol=tcp to-addresses=192.168.10.1 to-ports=8291

при условии
/ip address
add address=192.168.10.1/24 comment="\EB\EE\EA\E0\EB\EA\E0" interface=\
Local_MOCA network=192.168.10.0


Первое это пробросов портов. и мой эксперемент будет ли работать из все . dst-address=212.76.137.51 dst-port=8291 - это внешний адрес роутер, а in-interface=WAN protocol=tcp to-addresses=192.168.10.1 to-ports=8291 это внутренний адрес роутера. второе это адреса локальной сети.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

ну вот вы ваши эксперименты вычистите все и думаю тема отпадет сама собой


Есть интересная задача и бюджет? http://mikrotik.site
Аватара пользователя
paidion
Сообщения: 6
Зарегистрирован: 09 дек 2013, 11:05

vqd писал(а):ну вот вы ваши эксперименты вычистите все и думаю тема отпадет сама собой


ну это не ответ на вопрос.


vqd
Модератор
Сообщения: 3605
Зарегистрирован: 26 сен 2013, 14:20
Откуда: НСК
Контактная информация:

/system reset-configuration no-defaults=yes

тема закрыта


Есть интересная задача и бюджет? http://mikrotik.site
Закрыто